Exporteren (0) Afdrukken
Alles uitvouwen

RADIUS-verkeer beveiligen met IPSec

RADIUS-verkeer beveiligen met IPSec

IPSec (Internet Protocol Security) biedt u de mogelijkheid om RADIUS-servers te beveiligen tegen ongewenst verkeer door filters in te stellen voor bepaalde netwerkadapters (en zo specifieke protocollen toe te laten of te blokkeren) en om te bepalen van welke IP-adressen verkeer wordt toegestaan. Voor organisatie-eenheden kunt u IPSec-beleidsregels opstellen, die worden opgeslagen in Active Directory. U kunt ook lokaal beleid op RADIUS-servers maken en dit toepassen op specifieke computers. Als u IPSec-beleidsregels maakt voor een organisatie-eenheid, worden deze toegepast via Groepsbeleid.

Zie Organisatie-eenheden, Integratie van groepsbeleid en Nieuwe organisatie-eenheden maken voor meer informatie over organisatie-eenheden en Groepsbeleid.

Voordat u IPSec-filters instelt, bepaalt u voor elke RADIUS-server welk verkeer u wilt toestaan. Filters die te strikt zijn, kunnen acceptabel netwerkverkeer in de weg staan. Als IAS bijvoorbeeld op een domeincontroller is geïnstalleerd en u blokkeert alle IP-verkeer op alle poorten, met uitzondering van RADIUS-verkeer, zullen gebruikersquery's voor Active Directory-objecten (zoals printers) op standaardpoort 3268 van de globale catalogus mislukken. Omgekeerd wordt de RADIUS-server blootgesteld aan ongewenst verkeer wanneer de IP-filters te algemeen zijn ingesteld. Zie Speciale aandachtspunten bij IPSec en Filterlijst voor meer informatie.

RADIUS-berichten worden verzonden met UDP (User Datagram Protocol). UDP-poort 1812 wordt gebruikt voor RADIUS-verificatieberichten en UDP-poort 1813 voor RADIUS-accountingberichten. Wanneer u met IPSec filters maakt voor uitgaand en binnenkomend verkeer, moet UDP-verkeer worden toegestaan op deze poorten. Bepaalde toegangsservers gebruiken echter mogelijk UDP-poort 1645 voor RADIUS-verificatieberichten en UDP-poort 1646 voor RADIUS-accountingberichten. Standaard worden beide configuraties door IAS ondersteund. Als uw toegangsservers UDP-poort 1645 en 1646 gebruiken, kunt u IPSec-filters instellen die verkeer via deze poorten toestaan. Zie IAS-poortinformatie configureren voor meer informatie over het wijzigen van de UDP-poort voor IAS. Zie Internet Protocol Security (IPSec) en IP-filterlijsten definiëren voor meer informatie over het definiëren van IP-filterlijsten.

Met de module IP-beveiligingsbeleid en Groepsbeleid kunt u een IPSec-beleid voor organisatie-eenheden maken. Zie Groepsbeleid voor meer informatie.

Met de console Lokaal beveiligingsbeleid kunt u IPSec-beleid configureren voor afzonderlijke RADIUS-servers. Zie Lokaal beveiligingsbeleid voor meer informatie.

Zie IAS Network Access Quarantine Control voor informatie over het instellen van IP-filters voor RAS-clients.

Opmerking

  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft